DaaS提供商通常會宣稱由其托管的桌面比傳統(tǒng)VDI更加高效和安全，但是云安全確是一個無法回避的問題。想要使用DaaS的企業(yè)必須無條件信任提供商的員工以及其內(nèi)部安全防護措施。

[[127108]]

企業(yè)在選擇使用DaaS之前所面臨的最大問題之一就是無法回避的云安全性。

桌面即服務(wù)(DaaS)提供商宣稱相比于傳統(tǒng)的本地VDI方式，其提供的DaaS服務(wù)可以讓企業(yè)更加輕松、高效、廉價、安全地使用托管桌面，并且他們擁有充分的理由可以證明這一點。對原本分散的桌面進行大規(guī)模、集中化管理是DaaS的優(yōu)勢之一，通過提供批量服務(wù)，DaaS 提供商可以提高資源分配的針對性，這種方式相比于企業(yè)——特別是小型和中小型企業(yè)——自己進行部署來說，可以大幅提升安全性。

但是IT管理員和決策制定者不能完全信任DaaS提供商所承諾的安全性。即便是VDI宣稱的強化安全性也只不過是一套由IT管理員來部署和操作、適用于虛擬環(huán)境的系統(tǒng)和流程，VDI自身并不包含任何物理環(huán)境所不具有的安全特性。類似地，相比于其他云服務(wù)，DaaS受到安全漏洞影響的幾率也是相同的。

信任DaaS提供商的IT員工

管理大型桌面環(huán)境并非易事，而管理本地VDI環(huán)境卻更加困難。一些企業(yè)選擇使用DaaS，因為這樣可以將許多系統(tǒng)管理任務(wù)轉(zhuǎn)交給云服務(wù)提供商，其已經(jīng)擁有管理虛擬桌面所需的基礎(chǔ)架構(gòu)和相關(guān)經(jīng)驗。但是作為代價，管理員必須放棄大量的控制權(quán)限。

當(dāng)企業(yè)將桌面管理權(quán)轉(zhuǎn)交給DaaS提供商之后，必須無條件相信DaaS提供商的IT員工能夠為他們構(gòu)建一個安全的桌面環(huán)境，然而這是一個極其復(fù)雜的過程。如果服務(wù)提供商沒有投入足夠的精力會怎樣呢?

技術(shù)人員可能會使用設(shè)計上存在缺陷的應(yīng)用程序編程接口(API)或者不安全的應(yīng)用程序，還有可能無意間錯誤配置hypervisor和虛擬機，又或是在整個系統(tǒng)當(dāng)中安裝了無效的惡意軟件防護工具。考慮到DaaS所需的基礎(chǔ)架構(gòu)復(fù)雜性——并且需要為多個用戶同時提供服務(wù)——因此當(dāng)有人意識到某些地方出現(xiàn)問題的時候，可能為時已晚。

此外，云服務(wù)必須能夠支持多種終端類型，比如臺式機、筆記本、智能手機和平板電腦。所有這些設(shè)備通過互聯(lián)網(wǎng)連接到DaaS提供商，意味著服務(wù)提供商的員工必須負(fù)責(zé)端口、連接、防火墻、透明協(xié)議以及其他所有保證數(shù)據(jù)安全傳輸?shù)慕M件。

其他云安全問題

不幸的是，DaaS基礎(chǔ)架構(gòu)可能存在的缺陷只是使用DaaS所面臨的眾多風(fēng)險之一。企業(yè)需要信任DaaS提供商可以保證業(yè)務(wù)安全運行，但是無法要求DaaS提供商在任何時候、對于所有任務(wù)都保持高度警覺性。

比如，DaaS提供商可能在系統(tǒng)審計、安全補丁或者實時病毒防護方面出現(xiàn)問題。他們需要綜合考慮所有因素，而不能僅僅根據(jù)安全一個方面做出決定，比如提前發(fā)布惡意軟件威脅分析報告，以避免對系統(tǒng)性能產(chǎn)生負(fù)面影響。

選擇使用DaaS的企業(yè)還必須信任服務(wù)提供商的所有員工，特別是對于VDI環(huán)境擁有直接訪問權(quán)限的員工。員工的相關(guān)情況是否已經(jīng)經(jīng)過驗證?是否通過了背景審查?哪些人擁有密鑰的訪問權(quán)限?

理想情況下，DaaS提供商的內(nèi)部員工需要遵守非常嚴(yán)格的安全規(guī)定。也就是說，即便是那些進行正常操作的員工，也有可能成為網(wǎng)絡(luò)罪犯的利用工具。

比如，摩根大通的報告宣稱7600萬個家庭和700萬家小型企業(yè)最近受到了網(wǎng)絡(luò)攻擊的影響。黑客使用一位員工的登陸賬號獲取了訪問Web開發(fā)服務(wù)器的權(quán)限。通過這些賬戶，黑客可以任意瀏覽銀行的安全網(wǎng)絡(luò)。

安全專家推測黑客將會利用被盜的數(shù)據(jù)對受影響的家庭和企業(yè)進行釣魚欺騙攻擊。如果DaaS提供商的基礎(chǔ)架構(gòu)也存在類似的漏洞，那么使用這項服務(wù)的企業(yè)將會面臨很大的風(fēng)險。

使用DaaS這種云服務(wù)需要面臨的另外一種風(fēng)險是如果服務(wù)提供商不再提供相關(guān)業(yè)務(wù)，企業(yè)應(yīng)該如何應(yīng)對。需要關(guān)心的不只是業(yè)務(wù)方面的損失，還需要確保相關(guān)基礎(chǔ)架構(gòu)和虛擬機的安全性。數(shù)據(jù)中心應(yīng)該在任何時候都受到全方位保護，不管是硬件故障還是來自于互聯(lián)網(wǎng)的攻擊，因為保護過程中的任何差錯都有可能導(dǎo)致無法挽回的結(jié)果。如果公司不再購買相關(guān)服務(wù)，那么不會有人告訴你應(yīng)該如何對服務(wù)器進行保護，即便對所有靜態(tài)數(shù)據(jù)進行加密，黑客還是有可能入侵正在運行的任何機器。